病毒诊断与防治技术.docVIP

第12章病毒诊断与防治技术 12.1 美国计算机研究专家F-Cohen博士最早提出了“计算机病毒叩勺 概念：计算机病看是一段人为编制的计算机程序代码。这段代码一 旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序 或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的 目的。其特性在很多方面与生物病毒有着极其相似的地方。 《中华人民共和国计算机信息系统安全保护条例》第二十八条 中对计算机病毒做的定义是：计算机病毒，是指编制或者在计算机 程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并 能自我复制的一组计算机指令或者程序代码。 广义上说，凡能够破坏计算机正常运行和破坏计算机中数据的 程序代码都可以称为计算机病毒。 从1987年发现第1例计算机病毒以来，计算机病毒的发展经历了以下几个主 要阶段： DOS引导阶段； DOS可执行文件阶段； 混合型阶段； 伴随及批次性阶段； 多形性阶段； 生成器及变体机阶段； 网络及蠕虫阶段； 视窗阶段； 宏病毒阶段； 互联网病毒阶段。 1. 计算机病毒的主要特征 1可控性：计算机病毒与各种应用程序一样也是人为编写出来的，是可控制 的。 1传染性：病毒的传染性又称“自我复制或“再生再生是判断是不是 计算机病毒的最重要依据。在一定条件下，病毒通过某种渠道从一个文件和一台 计算机传染到另外没有被病毒传染的文件和计算机。 1夺取系统控制权：计算机病毒的首要目标就是争夺系统的控制权，一般采 用修改中断入口或在止常程序中插入一段病毒程序，在系统启动或程序调用时， 先运行病毒程序，而后才转向正常的系统或程序运行。 1隐蔽性：计算机病毒的隐蔽性表现在两个方面：其一，传染的隐蔽性，大 多数病毒在进行传染时不具有外部表现，不易被人发现。其二，一般的病毒程序 都夹在正常程序之中，很难被发现。 1潜伏性：一个编制精巧的计算机病毒程序，传染计算机或网络后，可以潜 伏几周或者几个月甚至几年。 计算机病毒发作的触发条件 1利用系统时钟提供的时间作为触发机制，这种触发机制 被大量病毒使用。女CTCIH”病毒是在每月的26 口才会触发， “黑色星期五病毒是在既是13日又是星期五才触发。 1利用病毒体自带的计数器作为触发器。 1利用特定环境作为触发条件。 不可预见性 不同种类病毒的代码千差万别，病毒的制作技术 也在不断地提高，病毒比反病毒软件永远是超前的。 新的操作系统和应用系统的出现，软件技术不断地发 展，这在为计算机提供了新的发展空间的同时，也对 未来病毒的预测更加困难，这就要求人们不断提高对 病毒的认识，增强防范意识。 病毒的衍生性、持久性和欺骗性 1人们可以对一种计算机病毒进行改进，从而衍生出一种 不同于原版本的新的计算机病毒(又称为变种病毒)。 1计算机病毒程序可由一个受感染的拷贝通过网络系统反 复传播，使得病毒的感染具有持久性和复杂性。 1计算机病毒行动诡秘，而计算机对其反应却较“迟钝， 往往把病毒造成的错误当成事实接受下来，这就是计算机病毒 的欺骗性。 任何一种计算机病毒都是由三个部份组成：引导部份、传染部 份和表现部份。 1病毒的引导部份的作用是将病毒的主体加载到计算机内存， 为感染部份作准备，在这期间发生驻留内存、修改中断地址、修改 存放在高端内存中的信息、保存原中断向量等操作。引导部分也就 是病毒的初始化部分，它随着猪主程序的执行而进入内存，为传染 部分做准备。 1病毒的传染部份的作用是将病毒代码程序自动传染到冃标上 去。不同的病毒在传染方式和传染条件上各有不同。 1病毒的表现部份是病毒主体部份，病毒对计算机系统的破坏 就是表现部份的作为，病毒的引导部份及传染部份都是为表现部份 服务的。大部份病毒都是在一定的条件下才会触发其表现部份的。 指针对DOS操作系统开发的病毒。由于Windows 2000/XP/2003病毒的 出现，DOS病毒几乎绝迹。但DOS病毒在Windows2000/XP/2003环境中仍可 以进行感染，因此若执行了染毒程序，Windows 2000/XP/2003用户也会被 感染。使用现代的杀毒软件能够查杀的病毒中一半以上都是DOS病毒，可 见DOS时代DOS病毒的泛滥程度。但这些众多的病毒屮除了少数几个让用户 胆战心惊的病毒之外，大部分病看都只是制作者出于好奇或对公开代码进 行一定变形而制作的病毒。 主要指针对Windows 2000/XP/2003操作系统的病毒。现在的电脑用户 一般都安装Windows系统，Windows病毒一般感染Windows 2000/XP/2003系 统，其中最典型的病毒有CIH病毒。但这并不意味着可以忽略系统是 Windows NT系列包括Windows 2000/XP/2003的计算机。一些Windows病毒 不仅在Windows 2000/